¶ Предисловие
ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от _____ 2026 года № ____ «О введении в действие новых редакций стандартов Банка России и стандарта Банка России».
Настоящий Стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.
¶ Введение
Стандарт содержит описание общих правил взаимодействия Поставщиков информационных услуг и Сторонних поставщиков информационных услуг, используемых в процессе получения информации о банковских счетах клиента в среде Открытых программных интерфейсов (Среда ОПИ).
¶ Область применения
Стандарт применяется при предоставлении финансовых и иных сервисов с использованием API в Среде ОПИ, разработке спецификаций API по получению информации о счете третьей стороной.
Стандарт рекомендован к использованию организациями при обмене финансовыми сообщениями, связанными с получением информации о банковском счете.
Настоящий стандарт предназначен для:
- Участников получения информации о банковском счете юридических и физических лиц (кредитные организации и их клиенты, а также Сторонние поставщики информационных услуг);
- Разработчиков информационного и программного обеспечения, информационных систем.
Положения настоящего стандарта применяются совместно со следующими документами:
- СТО БР «Открытые программные интерфейсы. Общие положения».
- СТО БР «Открытые программные интерфейсы. Глоссарий».
- СТО БР «Открытые программные интерфейсы. Общие требования к прикладным стандартам».
- СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах клиента. Спецификация API. Описание взаимодействия».
- СТО БР «Открытые программные интерфейсы. Получение согласия на доступ к банковским счетам клиента. Методы для Физических Лиц. Спецификация API».
- СТО БР «Открытые программные интерфейсы. Получение согласия на доступ к банковским счетам клиента. Методы для Юридических Лиц. Спецификация API».
- СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах клиента. Методы для Физических Лиц. Спецификация API».
- СТО БР «Открытые программные интерфейсы. Получение информации о банковских счетах клиента. Методы для Юридических Лиц. Спецификация API».
¶ Термины и определения
В Стандарте применяются следующие термины, сокращения и определения в соответствии с документом СТО БР «Открытые программные интерфейсы. Глоссарий»
В Стандарте применяются следующие термины, сокращения и определения:
| Наименование | Описание |
|---|---|
| ОПИ | Открытые программные интерфейсы. |
| Среда ОПИ | Среда Открытых программных интерфейсов. |
| Поставщик услуг (ПУ) | Поставщик информации, обслуживающий финансовые продукты и счета Клиента (Пользователя) и публикующий Открытые программные интерфейсы для предоставления информации о финансовых продуктах и счетах Клиента (Пользователя). |
| Сторонний поставщик услуг (СПУ) | Пользователь информации, предоставляющий Клиенту (Пользователю) услуги по получению информации о финансовых продуктах и инструментах Клиента (Пользователя) и управлению его финансовыми продуктами и счетами. |
| Согласие на доступ к счету (Согласие) |
Предоставление Пользователем согласия Поставщику услуг на доступ к информации по своему счету Стороннему поставщику. |
¶ Цель и назначение взаимодействия
Настоящий Стандарт описывает модель взаимодействия между Пользователями, Сторонними поставщиками информационных услуг (СПУ) и Поставщиками информационных услуг (ПУ) при предоставлении Информационного сервиса по агрегации финансовой информации.
Стандарт устанавливает правила для такого взаимодействия, преследуя следующие цели:
- повышение качества и удобства финансовых услуг для Пользователя за счет возможности консолидированного управления информацией из различных источников;
- создание основы для разработки Сторонними поставщиками инновационных и конкурентоспособных клиентских сервисов;
- обеспечение безопасного, прозрачного и контролируемого Пользователем обмена данными между участниками Среды ОПИ.
Информационный сервис предусматривает возможность проведения анализа данных Пользователя по одному или нескольким счетам, включая общие данные по остаткам, детализацию по операциям, а также данные по продуктам, привязанным к счету.
Для предоставления Информационного сервиса Пользователь обращается к Стороннему поставщику информационных услуг в соответствии с правилами, определяемыми Сторонним поставщиком информационных услуг с учетом требований Среды ОПИ.
¶ Схема взаимодействия
Общая схема взаимодействия участников в рамках предоставления Информационного сервиса выглядит следующим образом:
Пользователь направляет согласие через Стороннего поставщика информационных услуг (1).
Это согласие адресовано Поставщику информационных услуг (2) (тому, кто ведет счет Пользователя).
Согласие дает разрешение Стороннему поставщику информационных услуг на получение информации по счету Пользователя от Поставщика услуг (3).
Сторонний поставщик информационных услуг получает данные о счете от Поставщика услуг информационных услуг на основании предоставленного согласия (4).
На основании этих полученных данных Сторонний поставщик информационных услуг предоставляет Пользователю информацию для управления финансами (аналитику, отчеты, советы и т.д.)(5).
¶ Согласие на доступ
Процесс получения согласия является ключевым элементом взаимодействия и позволяет Пользователю безопасно и контролируемо предоставлять Стороннему поставщику (СПУ) разрешение на доступ к своим данным у Поставщика услуг (ПУ).
Процесс получения согласия состоит из двух ключевых этапов: инициирование запроса СПУ и авторизация этого запроса Пользователем у ПУ.
1. Инициирование запроса на согласие (client credentials flow).
Сначала СПУ, аутентифицируя себя на сервере ПУ как доверенное приложение, инициирует создание запроса на согласие. Он передает ПУ параметры запрашиваемого доступа (например, какие данные нужны и на какой срок). В ответ ПУ создает ресурс согласия в статусе "ожидает авторизации" и возвращает СПУ его уникальный идентификатор (consentId). На этом этапе взаимодействие происходит между двумя системами без участия Пользователя.
2. Авторизация согласия Пользователем (hybrid flow).
Получив consentId, СПУ перенаправляет Пользователя на защищенную страницу ПУ для авторизации этого конкретного запроса. Пользователь проходит аутентификацию на стороне ПУ (например, вводит логин и пароль от интернет-банка), проверяет детали запрашиваемого доступа и явно подтверждает свое согласие.
После успешного подтверждения ПУ сообщает СПУ, что согласие авторизовано, и предоставляет ему технические средства (токен доступа) для получения данных в рамках выданного разрешения.
Пользователь может управлять своими согласиями, в том числе давать одно или несколько согласий одному или разным Поставщикам информационных услуг.
Формирование согласия Пользователя ПУ на доступ к информации по счету СПУ включает в себя следующие шаги:
- информирование Сторонним поставщиком информационных услуг Пользователя о содержании предлагаемого Информационного сервиса;
- подтверждение Пользователем намерения использовать Информационный сервис Стороннего поставщика информационных услуг;
- создание запроса на согласие во взаимодействии Стороннего поставщика информационных услуг с Поставщиком информационных услуг;
- авторизация согласия во взаимодействии Поставщика информационных услуг с Пользователем;
- уведомление Пользователя Сторонним поставщиком информационных услуг о состоянии согласия;
- При необходимости Сторонний поставщик информационных услуг может запросить состояние согласия у Поставщика информационных услуг.
Для синхронизации информации Сторонний поставщик информационных услуг может направлять Поставщику информационных услуг запросы для получения актуальной информации о состоянии согласия.
Согласие Пользователя начинает действовать после подтверждения Поставщика информационных услуг Стороннему поставщику информационных услуг о вводе в действие согласия.
Согласие Пользователя прекращает действие:
- когда Поставщик информационных услуг сообщает Стороннему поставщику информационных услуг, что согласие Пользователя отозвано;
- по завершению срока действия согласия;
- когда аккредитация Стороннего поставщика информационных услуг или Поставщика информационных услуг как участника Среды ОПИ была приостановлена или остановлена.
6.1 Информирование о содержании Информационного сервиса
Сторонний поставщик информационных услуг должен предварительно информировать Пользователя о содержании предлагаемого сервиса, предоставив сведения, достаточные для принятия Пользователем обоснованного решения о начале использования сервиса, включая:
- цель и общее описание Информационного сервиса;
- информацию о защите прав Пользователя в соответствии с требованиями стандарта СТО БР «Открытые программные интерфейсы. Общие положения»;
- данные о других сторонах кроме Стороннего поставщика информационных услуг, если они смогут иметь доступ к предоставляемой Пользователем информации в обезличенном виде;
- Сведения об организации в Едином реестре участников финансового рынка Банка России аккредитации Стороннего поставщика информационных услуг в реестре Банка России;
- срок действия согласия Пользователя;
- информацию о возможности отказа Пользователя от согласия и последствиях этого отказа с точки зрения предоставления сервиса Сторонним поставщиком информационных услуг и управления Пользователем ранее использованных данных;
- другие сведения о сервисе на усмотрение Стороннего поставщика информационных услуг.
Сторонний поставщик информационных услуг не должен запрашивать согласие Пользователя на получение данных, не связанных с целями предоставляемого сервиса. Пользователь подтверждает СПУ намерение получать информацию о счете через информационный сервис Открытых программных интерфейсов и дать согласие СПУ на доступ к своим данным, содержащую информацию о том, к каким данным Пользователь готов предоставить доступ, срок действия согласия и даты начала и окончания периода операций по счету, к которым относится данное согласие.
6.2 Подтверждение намерения
Для подтверждения намерения об использовании сервиса Пользователь заполняет параметры согласия на стороне Стороннего поставщика информационных услуг.
Сторонний поставщик информационных услуг должен предоставить Пользователю возможность выбора Поставщика информационных услуг, чтобы запрос на согласие мог быть направлен Сторонним поставщиком информационных услуг в соответствии с содержанием запроса.
После подтверждения выбора Пользователь пересылается Сторонним поставщиком информационных услуг к Поставщику информационных услуг для авторизации согласия Пользователя, о чем Сторонний поставщик информационных услуг должен сообщить Пользователю в момент пересылки.
Сторонний поставщик информационных услуг должен разъяснить Пользователю назначение каждого параметра согласия и последствия его применения, предоставить возможность просмотреть детали согласия.
К параметрам согласия относится:
- Указание типа данных, к которым Пользователь готов предоставить доступ: счет; баланс; операции по счету; выписка; привязанные к счету продукты.
- Указание категорий (кластеров) данных с учетом права Пользователя предоставлять базовую или детализированную информацию для анализа Сторонним поставщиком информационных услуг.
Базовые данные входят в состав детализированных, при отсутствии детализации все данные соответствующего типа рассматриваются в качестве базовых.
Во всех случаях Пользователь должен указывать как типы, так и категории данных для доступа к ним Стороннего поставщика информационных услуг.
- Дата и время истечения срока действия согласия. В случае, если дата истечения не указана Пользователем, максимальный срок действия такого согласия определяется внутренними политиками Поставщика Услуг (ПУ), на стороне которого выдается согласие.
- Даты начала и окончания периода операций по счету, к которым относится данное согласие. Являются не обязательными для заполнения, одна дата может быть указана без другой.
- Счета, по которым Пользователь разрешает Поставщику информационных услуг предоставлять данные Стороннему поставщику информационных услуг. Этот параметр заполняется Пользователем на этапе авторизации согласия Поставщиком информационных услуг.
6.3 Создание согласия
Для создания согласия Сторонний поставщик направляет запрос Поставщику услуг, содержащий в неизменном виде определенные Пользователем реквизиты согласия.
Поставщик услуг определяет актуальность сведений об организации в Едином реестре участников финансового рынка Банка России аккредитации Стороннего поставщика в Среде ОПИ, проводит контроль содержания реквизитов согласия, определяет возможность предоставления запрашиваемого сервиса Пользователю и сообщает о результатах контроля Стороннему поставщику информационных услуг.
При положительных результатах Поставщик информационных услуг ожидает пересылки к нему Пользователя Сторонним поставщиком для авторизации согласия.
При отрицательных результатах Сторонний поставщик информационных услуг направляет Пользователю сообщение с учетом содержания сообщения Поставщика информационных услуг об отрицательных результатах контроля.
6.4 Авторизация согласия
Получив от Поставщика информационных услуг сообщение о положительных результатах контроля согласия, Сторонний поставщик информационных услуг направляет запрос авторизации согласия Поставщику информационных услуг и пересылает Пользователя к Поставщику информационных услуг для проведения авторизации согласия.
После пересылки Поставщик информационных услуг проводит аутентификацию Пользователя требуемым методом и подтверждает Пользователю данные по Стороннему поставщику информационных услуг согласно аккредитации последнего в Среде ОПИ.
Поставщик информационных услуг должен исключить возможность изменения полученного согласия, а также предоставить Пользователю список доступных счетов, по которым Поставщику информационных услуг разрешается предоставлять данные Стороннему поставщику информационных услуг. Пользователь должен выбрать хотя бы один счет.
Пользователь проверяет корректность данных по Стороннему поставщику информационных услуг, неизменность предоставленных им ранее параметров согласия и завершает авторизацию согласия подтверждающим действием, принятым Поставщиком услуг способом.
Авторизация согласия не выполняется в случае, если Пользователь отказался подтвердить согласие или не выбрал хотя бы один счет.
6.5 Информирование о состоянии согласия
При положительном завершении авторизации Поставщик информационных услуг подтверждает Стороннему поставщику информационных услуг ввод в действие согласия (авторизованное согласие).
Одновременно Поставщик информационных услуг уведомляет Пользователя о его пересылке обратно к Стороннему поставщику информационных услуг.
6.6 Уведомление о состоянии согласия
При получении подтверждения от Поставщика услуг Сторонний поставщик услуг уведомляет Пользователя о положительном завершении авторизации согласия.
Для поддержания согласия в активном состоянии Сторонний поставщик услуг обязан своевременно предлагать Пользователю повторно авторизовать своё согласие.
В случае если Пользователь не производит повторную авторизацию, доступ к данным по такому согласию приостанавливается до момента прохождения следующей успешной авторизации, но не позднее истечения общего срока действия согласия (expirationDateTime).
Пользователь должен иметь возможность в любой момент ознакомиться с полной версией согласия как на стороне Стороннего поставщика информационных услуг, так и на стороне Поставщика информационных услуг.
Описание согласия предоставляется для каждого согласия отдельно в разрезе типов данных и их категорий для отображения в отдельности каждого разрешения на данные.
6.7 Отзыв, изменение согласия
Пользователь должен иметь возможность отозвать согласие как через Стороннего поставщика информационных услуг, так и со стороны Поставщика информационных услуг.
В случае необходимости изменения согласия Пользователю потребуется отозвать действующее согласие, в котором планируются изменения, и создать новое согласие.
Если счет, по которому дано согласие, перестает быть доступным для Пользователя, то данный счет удаляется из списка предоставления доступа, при этом Поставщик информационных услуг не отменяет доступ Стороннего поставщика информационных услуг к другим счетам, связанным с тем же авторизированным согласием.
6.7.1 Отзыв согласия через Стороннего поставщика
Отзыв согласия Пользователя включает в себя следующие шаги:
- отзыв согласия, направляемый Пользователем Стороннему поставщику информационных услуг;
- направление Сторонним поставщиком информационных услуг сообщения Поставщику информационных услуг о необходимости удаления согласия;
- подтверждение об удалении согласии, направляемое Поставщиком информационных услуг Стороннему поставщику информационных услуг;
- уведомление Сторонним поставщиком информационных услуг Пользователя об удалении согласия.
Сторонний поставщик информационных услуг должен обеспечить Пользователю возможность просматривать в удобном виде все действующие согласия и отзывать свои согласия в любое время.
При отзыве согласия, направляемого Пользователем, Сторонний поставщик информационных услуг должен разъяснить Пользователю последствия отмены согласия, сообщив, что он не сможет предоставлять конкретную услугу Пользователю.
После направления Сторонним поставщиком информационных услуг сообщения Поставщику информационных услуг удаление согласия происходит без участия Пользователя, но должно гарантировать, что Поставщик услуг подтвердит удаление согласия Стороннему поставщику информационных услуг и не будет принимать инициированные от него запросы на получение данных по отозванному согласию.
Вместе с последующим уведомлением Сторонним поставщиком Пользователя об удалении согласия Поставщику услуг целесообразно дополнительно информировать Пользователя по своим каналам об удалении согласия.
6.7.2 Отзыв со стороны Поставщика услуг
Поставщик информационных услуг должен обеспечить Пользователю возможность просматривать в удобном виде все действующие согласия и отзывать свои согласия в любое время.
Сторонний поставщик информационных услуг может направлять Поставщику информационных услуг запросы для получения актуальной информации о состоянии согласий.
6.7.3 Управление использованными данными
Сторонний поставщик информационных услуг обязан предоставить Пользователю возможность управлять данными, полученными в рамках согласия, после его отзыва. Пользователю должны быть доступны опции полного или частичного удаления данных, а также их обезличивания. СПУ должен информировать Пользователя о последствиях каждого действия.
Детальные требования к процедурам информирования, удаления и обезличивания данных определены в документе «СТО БР «Открытые программные интерфейсы. Общие положения», пункт 4.4.2.
¶ Данные
Для получения данных в соответствии с авторизованным согласием Сторонний поставщик информационных услуг направляет Поставщику информационных услуг запрос на предоставление сведений по счетам Получателя, к которым предоставлен доступ Стороннему поставщику информационных услуг.
На основе полученных сведений Сторонний поставщик информационных услуг формирует целевые запросы в адрес Поставщика информационных услуг для получения данных по конкретным счетам, группам счетов или по всем счетам, к которым разрешен доступ Стороннему поставщику информационных услуг в соответствии с согласием, и представляет с учетом этих данных запрошенный Пользователем сервис.
7.1 Стандартом предусмотрена возможность предоставления Пользователем доступа Стороннему поставщику информационных услуг к следующим основным данным по его счетам.
Реализация ПУ всех перечисленных ниже блоков данных является обязательной, если иное не указано отдельно*.*
Счет (для физических и юридических лиц):
- уникальный идентификатор счета (AccountId);
- статус счета (Status);
- валюта ведения счета (Currency);
- тип счета (AccountType);
- описание назначения счета (AccountDescription).
Баланс (для физических и юридических лиц):
- тип остатка (Type);
- сумма остатка (Amount);
- признак дебета/кредита (CreditDebitIndicator);
- дата и время расчета остатка (DateTime);
Примечание: Информация о кредитных лимитах может передаваться как один из типов баланса.
Операции по счету (для физических лиц):
- история движения средств по счету (включая сумму, дату, статус и направление операции);
- статус проведения операции.
Выписка (только для юридических Лиц):
- информация по операциям на счете за выбранный период;
- детализация операций (назначение);
- статус проведения операции.
Платежные карты (только для физических лиц, реализация опциональна):
- общая информация о платежных картах;
- нечувствительные данные (маскированный номер, тип, срок действия);
Финансовые продукты (только для физических лиц, реализация опциональна):
- список банковских продуктов, привязанных к счету;
- основная информация о продуктах.